网络安全 频道

2006年重大病毒木马事件大阅兵

    【IT168 专稿】在2006年的岁月尾声,有多少网民切身体会到了病毒带来的伤痛,而病毒又给多少创业造成了无可厚菲的损失,这一切的一切在杀毒软件厂商与广大网管员的辛勤努力下,恶意程序、病毒变的烟灰云散,计算机网络又呈现一片晴朗的天空,让我们回顾一下2006年的病毒杀记吧!

    2006病毒木马整体特点
    据金山毒霸全球反病毒监测中心资料记裁,其在上半年共捕获85552种病毒,其中的急性、恶性病毒为37735种,占44.1%。与往年相比,这个数量已经超过了近两年的病毒总数。而江民病毒疫情监测预警中心的月统计数据显视,仅11月为例:木马感染的计算机为1401256、后门为304162、蠕虫127040、漏洞攻击12501、脚本7711、宏病毒为835、其它攻击为61876,如此大的数据只占冰山一角让人不寒而立。由此得知病毒在此一年呈持续上涨趋势,大有一斩系统安全于马下的霸气。

    以前的病毒制造者通常是利用改变字符串,增加新内容的方式进行重编译,而现在病毒编制更加容易,稍微懂点编程技术的用户即可在网络中找到类似病毒的功能模块,只要进行简单组装即可制造出病毒或木马,而病毒疫情在2006年总体可分为:病毒增长变种速度快并利用勒索木马进行偷、抢、骗行为愈演愈烈,病毒传播途径呈现多元化跨平台趋势,以多数量小面积的方式进行传播,这种以多数量小面积传播的病毒更是和反病毒软件比赛升级时间,甚至出现了一天之内同一病毒连续升级数十次的情况。而加壳手段是恶意用户的首选,将可执行程序文件或动态链接库文件的编码进行改变、改变、压缩、加密以达到不被杀毒软件查杀目的。此时作为杀毒软件厂商开始研发独立模块专门负责解壳,脱壳引擎应运而生。总体而言2006病毒体现出了病毒技术提高,利用热点事件进行传播如:“世界杯电子门票”、“斯克曼”蠕虫等,有的病毒还将自身捆绑到正常的文档中,大有从系统漏洞演变为文件格式漏洞传播方式进行的趋向。由此同时出现了全球首个以Rootkit、跨平台为高端技术代表的病毒(Win32/Linux.Bi.a),该病毒目前无传播能力,但可以感染用户当前目录下的可执行文件。

    木马病毒报告书
    2006年前沿病毒中,灰鸽子木马(Backdoor.Huigezi)以其变种强捍位居首位,传奇型木马(此类型的木马很多,并且网络中不断出现新变种,现已发展到能阻止杀毒软件、反木马软件的运行,其中危害较大的有网吧传奇杀手、传奇黑面、传奇男孩、蜜蜂大盗、传奇盗号木马。)以窃取“传奇”等网络游戏账号为目的其危害也不容小视,高波(Backdoor.Win32.Agobot.bhj)病毒也有抬头的趋势,另外利用微软IE浏览器MHTML跨安全区脚本执行漏洞MS03-014的CHM木马也是令人头痛,而通过腾迅QQ传播的QQ大盗病毒因其传播面广闻名于网络,著名的维京病毒依靠自身具备文件型病毒、蠕虫病毒、病毒下载器类型病毒的特点挤身于2006病毒前排,本年度拥有工行网络银行的网名最担心的要数到工行钓鱼木马(TrojanSpy.Banker.yy),此类病毒专门监视IE浏览器访问的网页,一但发现网络用户在工行网上银行页面中输入了帐号、密码,并进行了提交时,立即弹出伪造的非法页面,从而提示用户修改密码信息,并通过后台发送电子信件的形式获得用户名与密码。

    传播高的有Risk.Exploit.Wmf 下载木马 ;JS.Smalll  网页木马 ;Win32.Parite.a.6958感染文件型病毒 ;Win32.Troj.Agent.24576广告木马;Win32.Troj.DL.Ag.19456 广告木马;Win32.Troj.Clicker.gj.98304 广告木马 ;Win32.Troj.Agent.se.35840广告木马 ;Win32.Troj.Agent.rs.17408 广告木马 ;JS.Psyme.am 网页木马。其传染相对较大危害程序重的有:灰鸽子 Win32.Hack.Huigezi 远程控制后门 ; QQ阿拉大盗Win32.Troj.QQRobber;QQ传递者Win32.Troj.QQPass ;QQ收集者 Win32.Troj.QQShou ;传奇盗贼 Win32.Troj.Lmir ;天堂盗贼Win32.Troj.Lineage;征途盗贼Win32.Troj.PswZhengtu;WOW盗贼Win32.Troj.WOW;PC共享者Win32.Hack.PcShare ;键盘记录者Win32.Troj.KeyLog等。病毒木马永远是网络中最困扰网名的一大心病,预防才是最好的手段,千万不能等病毒入住计算机而毫无准备,那样将失去网民不该失去的东西。

    病毒代表及整治方法
    2006年最疯狂的莫过于灰鸽子木马,因其加壳成功率相对较高,并通过特殊技术处理,修改病毒文件的方式逃过杀毒软件的追杀,有时恶意用户还会进行查找病毒文件中被杀毒软件扫描的特征部分,加以修改,使其特征值与杀毒软件的病毒库不匹配,进行多次加壳方式来达到目的,形成了已知病毒躲避杀毒软件的查杀功能,即成为传说中的免杀版。灰鸽子进驻系统后十分令人讨厌,可以监看用户各种信息,并可控制远程摄像头进行拍摄,一不留神即将带来各种损失。其清除方法虽然步骤复杂,但依然可以清除,其方法如下:
    一、启动系统按F8键进入计算机安全模式,用文件查找功能找出ok88.dll、ok88_Hook.dll和ok88.dll这三个文件(提示:ok88此文件名是根据程序所命名的不同而改变)一一删除。(图一)

文件搜索图

    二、进入注册表在其中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项,在其中查找服务所对应的可疑可执行程序,将其删除便可清除木马服务,稍微有点知识的网络管理人员可利用DOS下的netstat -an命令及灰鸽子攻击器工具对其进行反攻击。

    蜜蜂大盗(Win32.Troj.MiFeng70)可盗取一系列网络游戏如:奇迹、千年、红月、倚天、决战、大话西游、石器时代、遗忘传说、DVAQ、腾迅QQ、传奇等帐号密码,此木马运行后会将自身复制到系统目录下,文件名保持不变,在系统安装目录中生成isUn0404.exe、isUn0804.exe、isUninst.exe;在注册表主键HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加键值"internet"="%SYSTEM%"\%VIRUSNAME%";对注册表主键HKLM\SOFTWARE\Classes \xtfile\shell\open\command修改键值"默认"="%SYSTEM%"\%VIRUSNAME%" "%1"(图二);

灰鸽子注册表键值图

     在C:Autoexec.bat中添加内容net stop "Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)">C:BOOTEX.LOG,作为一般用户这里建意重装系统,而专业用户也得依照上面的述说小心应对。

    高波(Backdoor.Win32.Agobot.bhj),此病毒会对用户造成无法正常使用复制、粘贴,注册表等,并占用CPU为百分百,计算机速度一降到底。此病毒将自身复制到%windir% 和%windir%\system32 目录下,并添加注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run nvcpl rundl32.exe、 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runservices nvcpl rundl32.exe以达到自启动的目的,对注册表编辑器形成强制性关闭,导至用户无法打开注册表,此时应立刻断网、并重新启动计算机进行安全模式,进行查找系统盘与注册表中的rundl32.exe文件删除后(图三),对系统进行全盘杀毒,并打入补丁程序。

rundl32.exe文件查找

    CHM木马程序经过特殊配置的键盘记录器(KeyLogger.PerfectKeyLogger.120),采用隐藏进程手段,对标题包含QQ、ICQ、MSN、股票、在线支付、银行等关键字进行记录并通过电子邮件形式发送。用户一但感染可采取断开网络,升级杀毒软件对电脑进行全盘杀毒的自动清除,或者采用手工清除方式只要找到%SystemDir%\dllcache\pk.bin, 3680字节(病毒配置文件),%SystemDir%\dllcache\phantom.exe, 393216字节(病毒程序),%SystemDir%\dllcache\kw.dat, 803字节(病毒配置文件),%SystemDir%\dllcache\phantomhk.dll, 8704字节(病毒模块),%SystemDir%\dllcache\phantomi.dll, 215040字节(病毒模块),%SystemDir%\dllcache\phantomwb.dll, 40960字节(病毒模块)一一删除,随后进入注册表找到如下键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"Phantom" = %SystemDir%\dllcache\phantom.exe进行清除(图四),最后将系统打上微软MS03-014和MS04-023系统漏洞补丁即可。

    工行钓鱼木马,此木马会在用户计算机中生成svchost.exe文件,通过自行修改注册表方式随同操作系统运行,该病毒同时还会下载灰鸽子后门病毒,感染灰鸽子的用户系统将被黑客远程完全控制。清除方法相对简单,只要运行升级完成后的杀毒软件进行查杀即可或者在系统目录与注册表中找到svchost.exe与相对关联键值删除即可。

    安全须知
    现在通常使用的杀毒软件都具备超强的杀毒软件引擎,加大了对加壳型木马的识别杀死功能,如金山毒霸推出的具有“脱壳引擎”的互联网公开测试版本,能90%对病毒采用的壳进行脱壳处理,而在瑞星中,使用了Generic和变种共性特征比对技术,从而形成对一个群族的病毒进行查杀,起到了良好作用,在以后的岁月里虚拟技术更将是预知未来病毒的一种先驱。

0
相关文章